我正在为一个将给定字符串附加到动态字符数组末尾的函数编写ACSL规范。
这是我到目前为止所做的:
#include <stddef.h>
#include <stdint.h>
#include <stdlib.h>
#include <string.h>
#ifndef SIZE_MAX
#define SIZE_MAX ((size_t)-1)
#endif
#undef MAX
#define MAX(a, b) ((a) > (b) ? (a) : (b))
struct st_char_vector {
char *buf;
size_t capacity;
size_t length;
};
/*@ predicate valid_char_vector(struct st_char_vector *vec) =
@ \valid_read(vec) &&
@ vec->capacity > 0 &&
@ \valid(vec->buf + (0..vec->capacity - 1)) &&
@ vec->length <= vec->capacity;
@*/
/*@ requires valid_char_vector(vec);
@ requires new_capacity >= vec->capacity;
@ ensures valid_char_vector(vec);
@ ensures \old(vec->length) == vec->length;
@ ensures memcmp{Pre,Post}(vec->buf, vec->buf, vec->length) == 0;
@ behavior err:
@ ensures !\result;
@ ensures \old(vec->buf) == vec->buf;
@ ensures \old(vec->capacity) == vec->capacity;
@ behavior ok:
@ ensures \result;
@ ensures vec->capacity >= new_capacity;
@ complete behaviors;
@ disjoint behaviors;
@*/
static int char_vector_reallocate(struct st_char_vector *vec, size_t new_capacity);
/*@ requires valid_char_vector(vec);
@ requires \valid_read(str + (0..str_length - 1));
@ requires string_separated_from_extra_capacity:
@ \separated(str + (0..str_length - 1), vec->buf + (vec->length..vec->capacity - 1));
@ ensures valid_char_vector(vec);
@ ensures old_content_unchanged: memcmp{Pre,Post}(vec->buf, vec->buf, \old(vec->length)) == 0;
@ ensures \forall integer i; 0 <= i && i < \old(vec->length) ==> \old(vec->buf[i]) == vec->buf[i];
@ behavior err:
@ ensures !\result;
@ ensures buf_unchanged: \old(vec->buf) == vec->buf;
@ ensures capacity_unchanged: \old(vec->capacity) == vec->capacity;
@ ensures length_unchanged: \old(vec->length) == vec->length;
@ behavior ok:
@ ensures \result;
@ ensures str_length_added_to_length: vec->length == \old(vec->length) + str_length;
@ ensures string_appended: memcmp{Post,Post}(vec->buf + \at(vec->length, Pre), str, str_length) == 0;
@ complete behaviors;
@ disjoint behaviors;
@*/
int char_vector_append(struct st_char_vector *vec, const char *str, size_t str_length) {
if (SIZE_MAX - str_length < vec->capacity) {
return 0;
}
if (vec->capacity < (vec->length + str_length)) {
if (!char_vector_reallocate(vec, vec->capacity + str_length)) {
//@ assert \at(vec->length, Pre) == \at(vec->length, Here);
return 0;
}
}
memcpy(vec->buf + vec->length, str, str_length);
vec->length += str_length;
return 1;
}
由于尚未支持动态内存分配验证,因此我添加了占位符函数char_vector_reallocate()和ACSL规范,但没有显示实现。
使用Frama-C Sodium-20150201和WP插件,我无法验证6个属性:
我没想到要验证前5个属性有任何困难。
如何修复ACSL以便验证char_vector_append()?
(作为旁注,是否有动态阵列的ACSL规范示例,我可以将其作为指南?)
答案 0 :(得分:2)
您缺少assumes条款,这些条款将允许WP区分您的ok和err个案。这是一个很好的见证,你无法证明合同的disjoint条款。基本上,如果
为了模拟第三点,我建议使用一个ghost变量来指示是否有足够的空闲内存来扩展矢量。在你的情况下,因为只有一个分配,一个简单的布尔标志将完成这个技巧,例如//@ ghost int mem_full。
当然,您需要相应地调整char_vector_reallocate的规范:assigns mem_full及其behavior应基于assumes的初始值mem_full条款{1}}。
最后,在memcmp和ensures的{{1}}子句中,您的第一个char_vector_reallocate参数存在问题:参数本身应在{ {1}} - 状态。否则,你说的是old_content_unchanged中Pre - vec->buf - 状态中指出的任何内容,Post - 状态比较等于是Pre (vec->buf - 状态中的Post - 状态)。也就是说,无论参数中给出的标签如何,对Post的参数的评估都发生在当前状态中。
以下是Alt-Ergo
证明了所有内容的版本memcmp